首页 > 安全钻研 > 安全传递 > 安全公告

Drupal主题组件多个缝隙安全公告

颁布功夫 2019-04-19

缝隙编号和级别

CVE编号：暂无，，，，，，，，危险级别：高危，，，，，，，，CVSS分值：官方未评定

CVE编号：CVE-2019-10909，，，，，，，，危险级别：高危，，，，，，，，CVSS分值：官方未评定

CVE编号：CVE-2019-10910，，，，，，，，危险级别：高危，，，，，，，，CVSS分值：官方未评定

CVE编号：CVE-2019-10911，，，，，，，，危险级别：高危，，，，，，，，CVSS分值：官方未评定

影响版本

受影响的版本

Drupal 8.5或更早版本，，，，，，，，Drupal 8.6，，，，，，，，Drupal 7

受影响的组件

jQuery < 3.4.0

Symfony 2.7.0 to 2.7.50, 2.8.0 to 2.8.49, 3.4.0 to 3.4.25, 4.1.0 to 4.1.11 and 4.2.0 to 4.2.6

缝隙概述

Drupal是Drupal社区的一套使用PHP说话开发的开源内容治理系统。。。。。Drupal颁布了安全更新，，，，，，，，以解决Drupal Core中的多个安全缝隙，，，，，，，，这些缝隙可能允许远程攻击者粉碎数十万个网站的安全性。。。。。

其中一个安全缝隙是一个跨站点剧本（XSS）缝隙，，，，，，，，它存在于第三方插件中，，，，，，，，称为JQuery，，，，，，，，这是数百万网站使用的最盛行的JavaScript库，，，，，，，，也预先集成在Drupal Core钟祝。。。。该缝隙尚未分配CVE编号。。。。。

其余三个安全缝隙存在于Drupal Core使用的Symfony PHP组件中：

CVE-2019-10909

使用PHP模板引擎的表单主题时，，，，，，，，验证新闻未被转义，，，，，，，，当验证新闻可能蕴含用户输入时，，，，，，，，可能会导致XSS。。。。。

CVE-2019-10910

从未过滤的用户输入派生的服务ID可能导致执行任何肆意代码，，，，，，，，从而导致可能的远程代码执杏祝。。。。

CVE-2019-10911

攻击者能够批改记住我的cookie并作为分歧的用户进行身份验证。。。。。

缝隙验证

暂无POC/EXP。。。。。

建复建议

目前已有新版本如下，，，，，，，，请用户实时更新。。。。。

Drupal 8.6.15

https://www.drupal.org/project/drupal/releases/8.6.15

Drupal 8.5.15

https://www.drupal.org/project/drupal/releases/8.5.15

Drupal 7.66

https://www.drupal.org/project/drupal/releases/7.66

Symfony 2.7.51, 2.8.50, 3.4.26, 4.1.12 and 4.2.7

https://github.com/symfony/symfony/commit/ab4d05358c3d0dd1a36fc8c306829f68e3dd84e2

jQuery 3.4.0

https://blog.jquery.com/2019/04/10/jquery-3-4-0-released/

参考链接

https://www.drupal.org/security

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子

司法申明

软件升级

投资者关系

安全钻研